Der EuGH hat am 1. August 2022 einen Entscheid auf Vorlage eines litauischen Verwaltungsgerichts gefällt, worin er die Verarbeitung von Daten, die auf sensible Informationen schliessen lassen, dem strengen Regime für besondere Kategorien personenbezogener Daten unterstellt (Art. 9 DSGVO).
Ausgangslage
Zur Vermeidung von Interessenkonflikten und zur Bekämpfung der Korruption sind nach litauischem Recht unter anderem Leiter von Einrichtungen, die öffentliche Mittel erhalten, zur Abgabe einer «Erklärung über private Interessen» verpflichtet. Ein Leiter einer solchen Einrichtung verweigerte die Abgabe der Erklärung, unter anderem weil die Veröffentlichung von in der Erklärung enthaltenen Informationen auf der Website der zuständigen Kommission sein Recht auf Achtung des Privatlebens sowie das der anderen Personen, die er gegebenenfalls in seiner Erklärung zu nennen hätte, missachte.
Rechtsgrundlage für die Verarbeitung
Die erste, hier weniger interessierende Frage betraf die Rechtsgrundlage der Veröffentlichung auf der Website der zuständigen Behörde, wozu der EuGH die Voraussetzungen von Art. 6 Abs. 1 UAbs. 1 lit. c sowie Abs. 3 DSGVO (Erfüllung einer rechtlichen Verpflichtung) im Lichte der einschlägigen Grundrechte prüfte.
Die im fraglichen Gesetz vorgesehene Online-Veröffentlichung diene dem im öffentlichen Interesse liegenden Ziel der Vermeidung von Interessenkonflikten und der Bekämpfung von Korruption im öffentlichen Sektor und sei geeignet, zur Verwirklichung der angestrebten Ziele beizutragen. Allerdings fehle es in vielerlei Hinsicht an der Erforderlichkeit der Datenverarbeitung. Mit Blick auf den Datenminimierungsgrundsatz gehe es über das erforderliche Mass hinaus, Daten über den Ehegatten, Lebensgefährten oder Partner sowie über enge Verwandte oder andere bekannte Personen, die einen Interessenkonflikt begründen könnten, namentlich zu publizieren. Generische Angaben über den Ehegatten, Lebensgefährten oder Partner zusammen mit den entsprechenden Angaben der Interessen seien ausreichend.
Bei der Online-Veröffentlichung handle es sich um einen schwerwiegenden Eingriff in die Grundrechte, weil sich aus den Daten Informationen über bestimmte sensible Aspekte des Privatlebens der betroffenen Personen ableiten lassen und die Veröffentlichung zur Folge habe, dass diese Daten im Internet für eine potenziell unbegrenzte Zahl von Personen, ungeachtet ihrer Motive, frei zugänglich seien. Vor diesem Hintergrund stehe die DSGVO insbesondere einer Online-Veröffentlichung von namensbezogenen Angaben zu anderen Personen, die gegebenenfalls in der Erklärung zu nennen sind, entgegen.
Verarbeitung besonderer Kategorien personenbezogener Daten
Im Rahmen der zweiten Vorabentscheidungsfrage hatte der EuGH zu beurteilen, ob auch die Online-Veröffentlichung von Daten, die indirekt Aufschluss über sensible Informationen geben können, dem grundsätzlichen Verarbeitungsverbot von Art. 9 Abs. 1 DSGVO unterstehen. Vorliegend ging es um namensbezogene Angaben über den Ehegatten, Lebensgefährten oder Partner, aus denen sich Informationen über das Sexualleben oder die sexuelle Orientierung des Erklärungspflichtigen und dessen Ehegatten, Lebensgefährten oder Partner ableiten liessen.
Der EuGH betrachtete zunächst den Wortlaut von Art. 9 Abs. 1 DSGVO (und Art. 8 Abs. 1 DSRL) und hielt fest, dass:
[…] die Verwendung des Verbs ‘hervorgehen’ in diesen Bestimmungen dafür [spricht], dass eine Verarbeitung erfasst ist, die sich nicht nur auf ihrem Wesen nach sensible Daten bezieht, sondern auch auf Daten, aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben, wohingegen aber die Präpositionen ‘zu’ und ‘über’ bzw. die Verwendung eines Kompositums zum Ausdruck zu bringen scheinen, dass eine direktere Verbindung zwischen der Verarbeitung und den betreffenden Daten, bei denen auf ihr originäres Wesen abzustellen ist, bestehen muss.
Nachdem sich das Verb «hervorgehen» lediglich auf einen und die Präpositionen «zu» und «über» auf einen anderen Teil der besonderen Kategorien personenbezogener Daten beziehe, hätte eine wortgetreue Auslegung zur Folge, dass eine Unterscheidung je nach Art der betroffenen sensiblen Daten vorzunehmen wäre. Dies stünde jedoch nicht im Einklang mit einer systematischen Analyse der Bestimmungen, insbesondere mit Blick auf Art. 4 Ziff. 15 DSGVO und Erwägungsgrund 35 DSGVO, die den Gesundheitsdaten auch Daten zurechnen, aus denen Informationen über den Gesundheitszustand hervorgehen.
Ausserdem spreche der Zweck der DSGVO, ein hohes Schutzniveau der Grundrechte und Grundfreiheiten der betroffenen Person bei Datenverarbeitungen zu garantieren, für eine weite Auslegung. Eine einschränkende Auslegung würde hingegen dem (auch in EG 51 festgehaltenen) Zweck von Art. 9 Abs. 1 DSGVO zuwiderlaufen, einen besonderen Schutz gegenüber Datenverarbeitungen zu gewährleisten, bei denen aufgrund der besonderen Sensibilität der verarbeiteten Daten ein besonders schwerwiegender Eingriff in die Grundrechte auf Achtung des Privatlebens und Schutz der personenbezogenen Daten droht.
Aus diesen Gründen stelle die Online-Veröffentlichung von personenbezogenen Daten, welche die sexuelle Orientierung indirekt zu offenbaren vermögen, eine Verarbeitung besonderer Kategorien personenbezogener Daten dar.
Anmerkungen
Die Frage, ob die Möglichkeit von Rückschlüssen auf sensible Informationen für die Qualifikation als besondere Kategorie personenbezogener Daten genügt, ist in der Literatur nicht unumstritten. Dennoch überrascht das Urteil des EuGH wenig, nachdem dieser gerne den Zweck der DSGVO betont, ein hohes Schutzniveau zu gewährleisten – ein Totschlagargument zugunsten von weiten Auslegungen von Schutzbestimmungen.
Nicht restlos zu überzeugen vermag auch das systematische Argument, weshalb keine Unterscheidung unter den besonderen Kategorien personenbezogener Daten vorzunehmen ist, zumal sich die zitierten Bestimmungen (Art. 4 Ziff. 15 DSGVO und EG 35 DSGVO) ausschliesslich auf Gesundheitsdaten beziehen. Die Unterscheidung zwischen Daten, bei denen das Hervorgehen sensibler Informationen genügt, und den übrigen Daten ist im Wortlaut von Art. 9 Abs. 1 DSGVO deutlich angelegt. Unberücksichtigt lässt der EuGH bei seinen Ausführungen zum Zweck von Art. 9 Abs. 1 DSGVO, dass der von ihm zitierte EG 51 DSGVO von personenbezogenen Daten spricht, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind. Wie ein Teil der Lehre dafürhält, wären entsprechend mögliche Rückschlüsse nicht zu berücksichtigen.
Wie weit sich das Urteil verallgemeinern lässt, ist fraglich. Zum einen liessen sich die sensiblen Informationen über die sexuelle Orientierung vorliegend leicht ableiten und zum anderen ging es um eine Veröffentlichung von Daten, in deren Anschluss sich naturgemäss die weitere Verwendung der Daten nicht kontrollieren lässt. Es erscheint daher denkbar, dass der EuGH in einem anderen Kontext mögliche Rückschlüsse nicht als genügend erachtet. Dies würde denn auch der in der Lehre verschiedentlich vertretenen Meinung entsprechen, bei der Qualifikation der besonderen Kategorie personenbezogener Daten auch den Verarbeitungskontext und die Absicht des Verantwortlichen zu berücksichtigen.
Für das Schweizer Recht stellt sich dieselbe Frage bei den besonders schützenswerten Personendaten. Da der Wortlaut von Art. 3 lit. c DSG – im Gegensatz zu Art. 9 Abs. 1 DSGVO («hervorgehen») – keinen Hinweis enthält, dass auch mögliche Rückschlüsse genügen, lässt sich in Frage stellen, ob dies im Schweizer Recht ausreicht. Im Schlussbericht betreffend Postfinance (dazu haben wir berichtet) berücksichtigte der EDÖB die Auswertungsmöglichkeit, verneinte aber mit Blick auf den Bearbeitungskontext das Vorliegen besonders schützenswerter Personendaten, weil die PostFinance die Daten (im Zusammenhang mit dem E‑Cockpit) nicht für eigene oder fremde Zwecke auswertete. Die Praxis geht denn auch davon aus, dass mögliche Rückschlüsse nicht genügen, jedenfalls nicht ohne Berücksichtigung des konkreten Bearbeitungskontexts.